È tempo di aggiornare Chrome e ancora una volta, per il terzo mese consecutivo, Google ha corretto due bug “zero-day” precedentemente sconosciuti nel browser desktop più popolare al mondo.
Google ha rivelato di aver corretto i due difetti zero-day ad alta gravità nelle note di rilascio per il rilascio stabile di Chrome versione 95.0.4638.69 per Windows, Mac e Linux.
Qualsiasi numero di versione superiore a quello avrà le correzioni.
È una buona idea controllare la pagina di supporto di Google per gli aggiornamenti di Chrome, che spiega come impostare Chrome per l’aggiornamento automatico quando le patch diventano disponibili.
![File:Google Chrome logo and wordmark (2015).png - Wikipedia](https://upload.wikimedia.org/wikipedia/commons/9/91/Google_Chrome_logo_and_wordmark_%282015%29.png)
Altrimenti, Chrome ha un pulsante “Aggiorna” che è colorato in rosso se un aggiornamento ha almeno una settimana, indicando che dovrebbe essere installato.
I due difetti zero-day, che ora vengono sfruttati dagli aggressori, vengono tracciati con gli identificatori CVE-2021-38000 e CVE-2021-38003.
Entrambi sono stati trovati dal Threat Analysis Group (TAG) di Google, che tiene traccia delle attività di exploit sponsorizzate dallo stato e dei cyber-criminali.
Il secondo dei due zero-day è stato riportato anche da Samuel Groß di Google Project Zero il 26 ottobre, indicando la velocità con cui Google sta rispondendo alle scoperte zero-day.
CVE-2021-38000 è un difetto di progettazione dovuto a “convalida insufficiente di input non attendibili negli intenti”. E segnalato da TAG il 15 settembre.
![](https://telegra.ph/file/77589c3b8cd5b400f4858.png)
CVE-2021-38003 – un difetto di corruzione della memoria, secondo il tracker zero-day di Google Project Zero – è descritto vagamente come “implementazione inappropriata in V8”. V8 è il potente motore JavaScript di Chrome che Groß spera di sostenere con ulteriori protezioni sandbox. Come ha notato nella sua proposta, i bug V8 consentono agli aggressori di creare “exploit insolitamente potenti” che sono difficili da mitigare con le tecnologie di sicurezza esistenti.
“Google è consapevole che esistono exploit per CVE-2021-38000 e CVE-2021-38003”, ha affermato Google nelle note di rilascio.
L’aggiornamento arriverà nei prossimi giorni o settimane, secondo Google.
Ci sono otto correzioni di sicurezza, per lo più legate alla memoria, in questo aggiornamento di Chrome.
Google non ha attribuito gli exploit a nessun gruppo di hacker.
Il fatto che Google abbia corretto un numero insolitamente elevato di difetti zero-day in Chrome nel 2021 potrebbe essere interpretato in diversi modi.
Più vengono scoperti e più velocemente vengono risolti tramite gli aggiornamenti è un bene per gli utenti finali.
Una volta patchato, l’exploit è meno prezioso.
Ciò potrebbe significare che i difensori stanno migliorando nell’individuare gli zero-day.
D’altra parte, Google Project Zero ha visto un aumento degli zero-day che ha colpito le principali piattaforme come Chrome, Windows e iOS nell’ultimo anno.
La ragione di ciò potrebbe essere la commercializzazione del mercato degli exploit zero-day, che fornisce una scorciatoia per l’acquisizione di exploit che altrimenti richiedono competenze per svilupparsi.
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte Disney+
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video